2011 is voorbij, wat traditioneel altijd het moment voor het jaaroverzicht is. Dit keer een iets andere aanpak dan voorheen. We hebben namelijk gekozen om van elke maand de vijf meest opvallende gebeurtenissen in één regel te vermelden. Een jaaroverzicht in 60 regels, in Twitter-achtige stijl. Wel gevolgd door onze conclusie en terugblik op het jaar, want dat verdiende 2011 zeker.

Januari
Grootste familie van Nederland: 900.000 Nederlandse pc's onderdeel botnet
Tweets 'r Us: VS vordert Twitter-account Rop Gonggrijp wegens WikiLeaks
Wachtwoord: Zedenverdachte Robert M. staat zijn encryptiesleutel af
Zwartrijden 2.0: OV-chipkaart wordt volledig gekraakt
Zilveren randje: Computervirus viert 25ste verjaardag

Februari
Servicebeurt: Eerste Windows 7 Service Pack is mega-update
HBGary: Anonymous geeft "klikspaan" flink pak slaag
USB-stick: Microsoft geeft Autorun doodsteek via Windows update
Bunker: Nederland krijgt Nationaal Cyber Security Centrum
Provider: XS4ALL geeft Libiërs internet via inbeldienst

Maart
Een bericht van uw bank: Explosieve stijging fraude internetbankieren
Stuurlui: Beveiligingsbedrijf RSA via Excel-bestand gehackt
Comodo: Iraanse inbreker genereert valse SSL-certificaten bij Certificate Authority
Rustock: Microsoft sloopt gigantisch spambotnet
Hotspot: Rechter noemt meeliften op WiFi-netwerk niet illegaal

April
Sony: Privégegevens 70 miljoen PlayStation-gebruikers gestolen
DomDom: TomTom verkoopt tot woede van automobilisten rijgegevens aan politie
Offline: Zoon van virusbestrijder Eugene Kaspersky ontvoerd
Terminaal: Eerste Kamer verwerpt Elektronisch Patiëntendossier
Verzameldrift: Opslag vingerafdrukken wordt tijdelijk gestaakt

Mei
Lulz: Hackerscollectief LulzSec steelt hun eerste database
Supercookies: Gehate Adobe Flash cookies eenvoudig te verwijderen
Social engineering: Mac-gebruikers trappen massaal in scareware
Overal: Google introduceert Google Wallet, de nieuwe manier van betalen
Token: Amerikaanse defensiebedrijven gehackt via gecompromitteerde tokens

Juni
Updates: Bedrijven verslikken zich in het nieuwe Firefox update-schema
Cookiemonster: Adverteerders vrezen naderend cookieverbod
RIP: Beveiligingsexpert Robert Morris overleden
Schoonmaak: RSA vervangt mogelijk gecompromitteerde SecurID tokens
Sociale controle: Facebook schakelt gezichtsherkenning in, privacy uit

Juli
I'm a Mac: Apple introduceert OS X Lion, met full disk encryptie
Kaboem: Hacker kan Macbook accu's opblazen
PayPal: Nederlandse politie arresteert 4 Anonymous-leden
Theoretisch: Grootschalige handel in illegale OV-chipkaarten
Blind date: Hackers kraken de Nederlandse datingsite Pepper.nl

Augustus
SSL-rel: Het Nederlandse DigiNotar wordt door een Iraanse hacker gehackt
Reclame: Adverteerders introduceren 'Volg-me-niet register'
#London_riots: Cameron overweegt Twitterverbod voor relschoppers
Taart: Windows XP viert tiende verjaardag, tot verdriet van Microsoft
Business: LinkedIn stopt met gebruik van profielfoto's in advertenties

September
DigiD: Fraudeurs maken 2700 slachtoffers met andermans DigiD-gegevens
Picture perfect: Windows 8 vervangt wachtwoord door foto
DigiNotar: SSL-uitgever beheerst het dagelijkse nieuws
Password: WikiLeaks-wachtwoord van Julian Assange door journalist gelekt
Fraude: Telefoonmaatschappijen waarschuwen ING bij nieuwe simkaart

Oktober
Lektober: Nederlandse websites zijn net gatenkaas
Supervirus: "Stuxnet-zoon" 'Duqu' op Europese systemen ontdekt
Bundestrojaner: Hackers onthullen Duitse politie-spyware
Zoekmachine: Overheid vraagt Google 64 keer om gegevens
Shoot the messenger: E-mailserver Brenno de Winter gehackt

November
_nomap : Google laat WiFi-routers met rust als het SSID wordt gewijzigd
CarrierIQ: Spyware op 141 miljoen telefoons veroorzaakt wereldwijde opschudding
Ransom: Eerste Nederlandse gijzelvirus eist 100 euro losgeld voor pc
Phishing: 11,2 miljoen euro van Nederlandse bankrekeningen geplunderd
Thank you: FBI elimineert DNS botnet met hulp van KLPD

December
Crash: CIA drone stort neer in Iran, maar de oorzaak blijft onbekend
Deal of the day: Google betaalt Mozilla 1 miljard dollar voor gebruik zoekmachine
Cybercop: Nederlandse politie gebruikt spyware om verdachten te bespioneren
Ziek: Het elektronisch patiëntendossier krijgt een doorstart, en wordt nu veilig
Copyright: Omstreden SOPA-wetgeving maakt programma's als Tor illegaal

Terugblik
In 2011 waren verschillende trends zichtbaar en werden ook weer een aantal pijnpunten in de IT-security industrie duidelijk. Hieronder een kleine bloemlezing:

All your base are belong to us
IT-security begint bij de basis en dat is iets wat zowel bedrijven, organisaties als eindgebruikers vergeten. Het gebruik van echte klantgegevens op een ongepatchte Windows-server door Cheaptickets.nl, de puinhoop bij DigiNotar, het gebruik van een tien jaar oud besturingssysteem door RSA om gevoelige gegevens te beschermen, het niet versleutelen van interne communicatie door HBGary en Stratfor en de duizenden websites met SQL Injection. Het zijn allemaal voorbeelden van situaties waarbij de basisregels van het spel niet werden opgevolgd. En dan is het prijsschieten voor zowel "hacktivisten" als cybercriminelen die op financieel gewin uit zijn. Zeker grote bedrijven moeten aandacht aan gerichte aanvallen besteden, maar zouden dan wel eerst de basis op orde moeten hebben.

Zou RSA Windows 7 in plaats van Windows XP hebben gebruikt, dan had de exploit waardoor de aanvallers nu toegang tot de computer kregen niet gewerkt. Hetzelfde geldt voor het onderwijzen van kantoorpersoneel en ook eindgebruikers dat ze niet zomaar bestanden moeten openen. Bij RSA werd de e-mail in kwestie naar vijf mensen gestuurd, eentje opende hem en dat was voldoende. Het honderd procent voorkomen van dit soorte gerichte aanvallen is zeer lastig, maar we kunnen het de aanvallers wel een stuk moeilijker maken als systemen worden gepatcht en geupgrade, gebruikers weten wat social engineering is en er zaken als encryptie wordt gebruikt.

Op een onbewoond eiland
Verder werd dit jaar weer eens pijnlijk duidelijk dat de IT-security gemeenschap weinig zicht heeft op wat er nu precies speelt. De Duqu en Stuxnet supermalware zou afkomstig zijn van een speciaal ontwikkeld digitaal wapenplatform. Probleem is dat de malware pas dit en eind vorig jaar werd ontdekt, terwijl het platform van eind 2007 dateert. De aanvallers hadden jaren en hebben mogelijk nog steeds vrij spel.

Beveiligingsbedrijven proberen de dreiging wel in kaart te brengen, maar vaak speelt daarbij ook een commercieel motief. Het levert mooi trendrapportages vol spannende percentages op, maar actuele cijfers ontbreken vaak. Mede omdat ook leveranciers slechts een klein deel van de markt zien, vandaard dat de rapporten vaak per vendor verschillen. Een ander voorbeeld is het onlangs gepresenteerde cybersecuritybeeld. Geen concrete cijfers, actuele problemen en oplossingen, maar eerder een bloemlezing van wat er het afgelopen jaar gebeurt is. De genoemde trends zijn verder zo generiek, dat ze op elk land van toepassing kunnen zijn.

Cybercrime in Nederland? We hebben er geen zicht op. Een onderzoek wat wel met enigszins concrete cijfers kwam, was dat van de TU Delft en Michel van Eeten. Die keek naar besmet verkeer bij providers en kwam tot de conclusie dat tussen de 5% en 10% van alle Nederlandse computers besmet is. Er is dus nog werk aan de winkel.

Eén van de redenen waarom het beeld zo onduidelijk blijft, is omdat partijen geen informatie delen. Gehackte bedrijven zeggen zelden hoe de aanvallers zijn binnengekomen, wat mogelijk vrij schokkend voor de buitenwacht is, maar dit soort informatie zou andere bedrijven kunnen helpen om zich beter te wapenen. De aanvallers die een besmet Excel-bestand naar RSA stuurden, zouden ook bij 760 andere organisaties op deze manier hebben ingebroken. De angst voor imagoschade lijkt groter dan de wens om de situatie te veranderen, waardoor iedereen zijn mond houdt en er dus niet verandert. Iets waar alleen de aanvallers hun voordeel mee doen.

My precious
Verder werd in 2011 duidelijk hoe overheden wereldwijd hun grip op het internet proberen te verstevigen, vaak aangespoord door de commerciele belangen van de entertainmentindustrie. Neem voorbeelden als SOPA, HADOPI, het downloadverbod en ACTA, waardoor programma's als Tor zelfs verboden kunnen worden. Maar ook in andere situaties worstelen politici met "vrijheid" op internet. Neem bijvoorbeeld het proefballonetje van de Britse premier Cameron, om diensten als Twitter in het geval van ongeregeldheden af te sluiten.

Hack IT
Een andere trend is het groeiend aantal aanvalsvectoren. SCADA, printers en hashing algoritmen bij populaire webtalen, alles is lek. Neem bijvoorbeeld de printer. Tegenwoordig een complete computer voorzien van harde schijf, netwerkaansluiting en zelfs een webserver is niet vreemd. Uit recente onderzoeken blijkt dat als het om veiligheid gaat, dit soort apparaten nauwelijks door de molen zijn gehaald. Bedrijven hangen ze zonder hier vaak verder over na te denken gewoon in hun netwerk en staan vervolgens vreemd te kijken als de eerste de beste hacker er allerlei gaten in schiet.

In het geval van gepubliceerde onderzoeken wordt het vaak afgedaan als "theoretische verhalen". Hetzelfde gebeurde bij het hash collission lek dat deze week tijdens het Chaos Communication Congress werd onthuld. Alle grote webtalen zijn lek, behalve Perl. Dat besloot het probleem al in 2003!!! op te lossen. Acht jaar later wordt de rest ruw wakker geschud. Hetzelfde zagen we bij de OV-chipkaart. De beveiliging is een sterk staaltje van security through obscurity. Onderzoekers kijken ernaar en vinden tal van kwetsbaarheden, die vervolgens als een theoretisch probleem in "een laboratorium omgeving" worden afgedaan. Een paar maanden later is zwartrijden 2.0 de nieuwste trend en kan iedereen de kaart kraken. Bij de ontwikkeling van nieuwe producten en applicaties wordt nog altijd niet bij security stilgestaan en wordt er ook niet getest. Dat is eigenlijk geen trend, maar eerder een constante.

De gebruiker
Een andere constante, die toch in deze samenvatting niet mag worden vergeten, is de gebruiker. De man en vrouw tussen het keyboard en de computer. Er bestaat een grote disconnect in de manier waarop IT'ers en security professionals de computer ervaren en de doorsnee internetgebruiker. Het is dan ook niet zo verwonderlijk dat hetzelfde gedrag op de computer ook op de smartphone of tablet wordt vertoond, zoals het installeren van willekeurige apps. Het platform verandert, de gebruiker blijft hetzelfde.

De uitdaging is dan ook het bereiken van deze groep. 2400 Nederlandse phishingslachtoffers lijkt weinig, het bijbehorende schadebedrag van 11,2 miljoen euro is aanzienlijk. Of valt het allemaal wel mee, en is cybercrime helemaal niet zo groot als de media en beveiligingsbedrijven ons doen geloven? Volgens Symantec bedraagt de schade miljarden euro's, terwijl een prominent onderzoeker van Microsoft stelt dat de kans om het slachtoffer te worden zeer klein is, en gebruikers best zonder sterke wachtwoorden kunnen.

Hoe het ook zij, in 2012 zal Security.nl weer van het laatste nieuws en ontwikkelingen verslag doen, voor alle gebruikers, ongeacht hoe sterk hun wachtwoord is.